Взломали сайты на "Битриксе"? Как попали в Интернет данные миллионов клиентов Gloria Jeans, "ТВОЕ", "Аскона", book24.ru и других крупных бизнесов

Второй день в открытый доступ некий хакер частично выкладывает базы данных крупных бизнесов, в том числе имеющих активные интернет-магазины. Объявлено, что всего будут слиты данные 12 компаний. А на данный момент пострадавших десять. Эксперты считают, что сайты были взломаны по одному сценарию, и даже называют "точку входа".

Сейчас  в Сети оказались предположительно данные клиентов:

• торговой сети "Ашан",
• торговой сети "Твой дом",
• интернет-магазина Gloria Jeans,
• книжного интернет магазина book24.ru,
• магазина матрасов "Аскона" (askona.ru),
• книжного интернет-магазина "Буквоед",
• интернет-магазина "Леруа Мерлен",
• сайта кулинарных рецептов edimdoma.ru,
• интернет-магазина одежды "ТВОЕ",
• интернет-аптека "Вита".

Судя по тому, как пунктуально "сливаются" данные, угроза нависает еще над двумя компаниями, какими – пока неизвестно.

Как утверждают авторы телеграм-канала "Утечки информации", виновник свежих "сливов" – тот же источник, который уже "сливал" информацию бонусной программы "СберСпасибо", онлайн-платформы правовой помощи "СберПраво", "СберЛогистики" (сервис Shiptor), образовательного портала GeekBrains и многих других.

Рассмотрим подробнее, какие данные из какой компании уведены, и насколько подтверждена их подлинность.

Торговая сеть "Ашан": данные представлены в текстовых файлах. Всего более 7,8 млн строк содержат: имя и фамилию клиента, телефон (7,7 млн уникальных номеров), e-mail (4,7 млн уникальных адресов), адрес доставки или самовывоза (777 тыс. адресов), дату создания и обновления записи (с 13.04.2020 по 18.05.2023).

Сеть "Ашан" подтвердила утечку данных. Сейчас компания проводит внутреннее расследование, пытаясь выявить механизм утечки.

Гипермаркет "Твой дом": данные "слиты" в виде дампа таблицы пользователей из CMS Bitrix. Более 713 тыс. строк содержат: имя и фамилию клиента, телефон (618,3 тыс. уникальных номеров), e-mail (389,5 тыс. уникальных адресов), хешированный (с солью) пароль, пол (не для всех), дату рождения (не для всех), дату создания и обновления записи (с 21.01.2019 по 18.05.2023).

Интернет-магазин компании Gloria Jeans (gloria-jeans.ru): данные представлены в двух текстовых файлах, которые содержат: имя и фамилию клиента, e-mail (3,16 млн уникальных адресов), телефон (2,36 млн уникальных номеров), дату рождения, номер карты постоянного покупателя, дату создания и обновления записи (с 24.09.2018 по 18.05.2023). В файлах попадаются хешированные пароли пользователей, видимо, в полной версии базы данных будут присутствовать еще и они.

Авторы телеграм-канала "Утечки информации" выборочно проверили случайные адреса электронной почты из этой утечки через форму восстановления пароля на сайте  gloria-jeans.ru и выяснили, что они действительные.

В Gloria Geans отреагировали на сообщения об утечке данных пользователей и сообщили, что проверяют базу на достоверность.

Книжный магазин book24.ru: выложен дамп на более чем 4 млн строк. Он содержит: имя и фамилию клиента, телефон (2,4 млн уникальных номеров), e-mail (3,8 млн уникальных адресов), хешированный пароль, пол (не для всех), дату рождения (не для всех), дату создания и обновления записи (с 01.06.2016 по 29.05.2023).

Интернет-магазин матрасов "Аскона" (askona.ru): дамп содержит почти 2 млн строк. В них: имя и фамилию клиента, телефон (1,5 млн уникальных номеров), e-mail (1,3 млн уникальных адресов), хешированный пароль, пол (не для всех), дату рождения (не для всех), дату создания и обновления записи (с 20.04.2016 по 29.05.2023).

Книжный интернет-магазин "Буквоед" (bookvoed.ru): в открытый доступ были выложены два текстовых файла. В первом файле свыше 3,5 млн строк. Они содержат: имя и фамилию клиента, логин (адрес эл. почты, телефон или идентификатор в соцсетях), хеширвоанный пароль, дату создания записи (с 27.11.2008 по 29.05.2023).

Во втором файле свыше 3,2 млн строк. Они содержат: логин (адрес эл. почты, телефон или имя пользователя), хешированный пароль. Суммарно в двух файлах 5,419,806 уникальных логинов, из них: 2,58 млн уникальных адресов электронной  почты и 2,7 млн. уникальных номеров телефонов.

Кулинарный сайт Юлии Высоцкой EdimDoma.ru: выложен фрагмент базы данных, содержащий свыше 535 тыс. строк. В базе данных: имя и фамилия клиента (не для всех), e-mail (490 тыс. уникальных адресов), телефон (40 тыс. уникальных номеров), хешированный пароль, дата рождения (не для всех), IP-адрес (при регистрации и последнем заходе), дата создания записи и последнего входа в систему (с 24.08.2010 по 29.05.2023).

Интернет-магазин торговой сети "Леруа Мерлен" (leroymerlin.ru): выложены два файла с данными зарегистрированных пользователей. В первом файле 1,75 млн строк, во втором – свыше 3,3 млн. Оба содержат: имя и фамилию клиента, телефон, e-mail, хешированный пароль, пол (не для всех), дату рождения (не для всех), город проживания, дату создания и обновления записи (с 09.07.2011 по 20.05.2023).

Суммарно в двух файлах: 4,7 млн уникальных адресов эл. почты и 3,2 млн уникальных номеров телефонов.

Интернет-магазин одежды "ТВОЕ" (tvoe.ru): выложен фрагмент таблицы зарегистрированных пользователей. В дампе более 2,2 млн строк. Они содержат: имя и фамилию, телефон (2,2 млн уникальных номеров), e-mail (2,1 млн уникальных адресов), хешированный пароль, дату создания последнего входа в систему (с 05.10.2020 по 18.05.2023).

Интернет-аптека "Вита" (vitaexpress.ru): выложен полный SQL-дамп этого сайта. В нем содержится: данные более 870 тыс. пользователей (имена, хешированные пароли, 727 тыс. уникальных адресов электронной почты и 809 тыс. уникальных номеров телефонов) с 29.08.2015 по 03.06.2023, а также детальную информацию по более 7,3 млн заказов (311 тыс. и 1,6 млн уникальных адресов и номеров соответственно), сделанных с 01.01.2021 по 03.06.2023.

Выборочная проверка случайных e-mail-адресов через форму восстановления пароля на сайте vitaexpress.ru показала, что они действительные.

Роскомнадзор сообщил, что проведет проверку по всем случаям предполагаемых утечек.

Исследователи считают, что точкой входа для злоумышленника могла стать уязвимость в системе для создания веб-проектов от разработчика "1C-Битрикс", которая в конце мая подверглась массированной кибератаке. При этом эксперты подчеркивают, что разработчик может быть ни при чем: обновление для закрытия уязвимости доступно с прошлого года, но далеко не все клиенты его установили.

В пресс-службе "1С-Битрикс" сообщили, что одна из частых причин инцидентов с кибербезопасностью компаний – отсутствие плановых регулярных обновлений всей критической инфраструктуры веб-проекта:

"Мы устранили все уязвимости несколько месяцев назад. Бесплатные обновления были выпущены, а компании-клиенты – проинформированы".

Судя по датам в утекших базах, взлом произошел в мае, считают эксперты.

"При условии что такие крупные базы выложены одновременно и последние даты обновлений совпадают, можно предполагать, что компании взломали в одно и то же время и по одному сценарию", — говорит руководитель отдела исследования киберугроз экспертного центра Positive Technologies Денис Кувшинов.

Также читайте на нашем сайте:

• У "СберЛогистики" утечка данных? Компания проверяет информацию на достоверность
• Роскомнадзор сможет внепланово проверять IT-компании в связи с утечкой персональных данных. Раньше такое было запрещено
• Стали известны подробности миллионного иска клиентов "Яндекс Еды" из-за утечки данных
• Волна утечек персональных данных с российских сервисов продолжается: теперь Delivery Club
• Обнаружены очередные крупные утечки данных клиентов – на этот раз в СДЭК и Kari

Интересная новость? А ведь новости гораздо удобнее отслеживать в Telegram. Подпишитесь на наш Telegram-канал вот по этой ссылке. И вы будете и читать, и получать все самое важное наиболее удобным способом.